DNS - Einen Eintrag über zweite IP bei Ausfall der ersten IP erreichen
Hallo Admins,
wir erarbeiten aktuell ein Konzept, wie wir unsere Backupleitung auch für den externen Zugriff nutzen können.
Derzeit wird diese nur auf der Firewall als passives Gateway genutzt und baut, sobald die Hauptleitung ausfällt, die Verbindung auf. Die Unterbrechung beträgt hierbei nur ein paar Sekunden - soweit so gut.
Ziel ist es nun, dass wir die Dienste, die von extern mit der Hauptleitung erreichbar sind, auch mit der Backupleitung erreichbar machen möchten. Hiervon betroffen unter anderem die TK-Anlage, VPN-Server, ActiveSync, Webserver, etc.
Ich habe schon etwas recherchiert, ob für uns einfach ein zweiter A-Record bei den Public DNS Einträgen genügt, habe jedoch hierzu nichts passendes gefunden bzw. ob das so ist wie ich mir das vorstelle.
Mir stellt sich die Frage, ob die Clients automatisch den zweiten A-Record erhalten, sollte der erste nicht erreichbar sein?
Beide Leitungen (Haupt und Backup) haben gleich viele statische IP-Adressen - Wird trotzdem DynDNS benötigt?
Vielen Dank und Gruß!
TechSmile
wir erarbeiten aktuell ein Konzept, wie wir unsere Backupleitung auch für den externen Zugriff nutzen können.
Derzeit wird diese nur auf der Firewall als passives Gateway genutzt und baut, sobald die Hauptleitung ausfällt, die Verbindung auf. Die Unterbrechung beträgt hierbei nur ein paar Sekunden - soweit so gut.
Ziel ist es nun, dass wir die Dienste, die von extern mit der Hauptleitung erreichbar sind, auch mit der Backupleitung erreichbar machen möchten. Hiervon betroffen unter anderem die TK-Anlage, VPN-Server, ActiveSync, Webserver, etc.
Ich habe schon etwas recherchiert, ob für uns einfach ein zweiter A-Record bei den Public DNS Einträgen genügt, habe jedoch hierzu nichts passendes gefunden bzw. ob das so ist wie ich mir das vorstelle.
Mir stellt sich die Frage, ob die Clients automatisch den zweiten A-Record erhalten, sollte der erste nicht erreichbar sein?
Beide Leitungen (Haupt und Backup) haben gleich viele statische IP-Adressen - Wird trotzdem DynDNS benötigt?
Vielen Dank und Gruß!
TechSmile
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 5221089774
Url: https://administrator.de/contentid/5221089774
Ausgedruckt am: 21.11.2024 um 21:11 Uhr
22 Kommentare
Neuester Kommentar
Hallo,
soweit ich das sehe bleiben folgende Möglichkeiten mit spezifizischen Vor- und Nachteilen.
- Bonding z.B. mit virtueller IP
Dein Provider stellt Dir mehrere Leitungen zur Verfügung und fügt diese virtuell zusammen.
Kann alles was Du willst, ist teuer und muss über einen Anbieter laufen.
Entspricht Proxy auf IP-Ebene.
- DNS Eintrag mit mehrere IP-Adressen
Ist aber Round-Robin wie Slainte schon sagte. Es werden also immer beide IPs gleichmäßig genutzt.
- Proxy
Hier entscheidet der Proxy an welche IP und welchen Umständen er Daten weiterleitet.
Ist auch wieder ein Single-Point-Of-Failure, muss das Protokoll verstehen, also mehrere Proxys, und stelle bei Verschlüsselten Daten auch ein Sicherheitsrisiko dar. Funktioniert bei OWA z.B. aber prima.
Eine Software oder Person entscheidet beim Endbenutzter wohin die Verbindung geht.
z.B. 2 VPN Symbole zum verbinden, etc.
Stefan
soweit ich das sehe bleiben folgende Möglichkeiten mit spezifizischen Vor- und Nachteilen.
- Bonding z.B. mit virtueller IP
Dein Provider stellt Dir mehrere Leitungen zur Verfügung und fügt diese virtuell zusammen.
Kann alles was Du willst, ist teuer und muss über einen Anbieter laufen.
Entspricht Proxy auf IP-Ebene.
- DNS Eintrag mit mehrere IP-Adressen
Ist aber Round-Robin wie Slainte schon sagte. Es werden also immer beide IPs gleichmäßig genutzt.
- Proxy
Hier entscheidet der Proxy an welche IP und welchen Umständen er Daten weiterleitet.
Ist auch wieder ein Single-Point-Of-Failure, muss das Protokoll verstehen, also mehrere Proxys, und stelle bei Verschlüsselten Daten auch ein Sicherheitsrisiko dar. Funktioniert bei OWA z.B. aber prima.
Eine Software oder Person entscheidet beim Endbenutzter wohin die Verbindung geht.
z.B. 2 VPN Symbole zum verbinden, etc.
Stefan
Zitat von @techSmile:
Und was muss ich den Provider dann fragen? Ich stehe gerade etwas auf dem Schlauch und ich dachte nicht, dass das so etwas kompliziertes ist.
Meine Idee war:
2x A-Record -> Client sucht sich die aktuell verfügbare Verbindung raus
NAT-Regeln für beide öffentliche IPs pro angebotenen Dienst auf der Firewall erstellen.
Thema erledigt.
Und was muss ich den Provider dann fragen? Ich stehe gerade etwas auf dem Schlauch und ich dachte nicht, dass das so etwas kompliziertes ist.
Meine Idee war:
2x A-Record -> Client sucht sich die aktuell verfügbare Verbindung raus
NAT-Regeln für beide öffentliche IPs pro angebotenen Dienst auf der Firewall erstellen.
Thema erledigt.
Moin,
und woher soll der DNS-Server wissen ob dein System erreichbar ist oder nicht? Das is nur nen DNS, den interessiert das herzlich wenig... und wenn ich jetzt nen Zugriff auf euer System mache wird mein DNS hier diesen Eintrag auch im Cache haben - und somit interessiert den das noch weniger...
Du hast 2 Optionen:
a) Dein provider bietet einen solchen Service direkt an - dann brauchst nich viel machen...
b) Du richtest dir irgendwo im Web nen Loadbalancer ein der eben auf beiden Leitungen arbeitet wenn beide aktiv sind... Fällt eine aus wird der diese als "Tod" markieren und eben nur die andere nehmen bis die wieder da ist. Da der Zugriff selbst ja immer nur auf den Loadbalancer geht hast du auch nur einen Hostname... mit allen Vor- und Nachteilen...
Moin,
Gruß,
Dani
Ziel ist es nun, dass wir die Dienste, die von extern mit der Hauptleitung erreichbar sind, auch mit der Backupleitung erreichbar machen möchten. Hiervon betroffen unter anderem die TK-Anlage, VPN-Server, ActiveSync, Webserver, etc.
eine weitere Option, die sehr gut funktioniert ist ein Load Balancer ala Microsoft Azure Traffic Manager. Je nach Konfiguration erkennt dieser evtl. Ausfälle eines Nodes und ändert den DNS-Eintrag innerhalb der konfigurierten Zeit. Nutzen wir für kleinere Standorte, wo uns die HA Lösungen der ISP zu teuer sind.Gruß,
Dani
So lange dein(e) ISP(s) dazu nichts anbietet, wirst du selbst das Thema regeln müssen. Schlimmstenfalls ist für jeden Dienst eine Lösung nötig oder die baust irgendwo eine entsprechende Lösung beim Provider ein, die dann aber in der minimalen Ausführung ebenfalls nicht redundant ist.
Client sucht sich die aktuell verfügbare Verbindung raus
Da ist vermutlich der Denkfehler. Der Client kann ja niemals selber "suchen". Der nimmt das was der DNS Server ihm als IP Adresse zurück gibt zum Hostnamen...fertig.Mit 2A Records dann immer "Round-Robin" wie Kollege @SlainteMhath oben schon gesagt hat.
Eine 1Gig Leitung die man teuer Monat für Monat bezahlt dann einfach ungenutzt als passives Gateway brachliegen zu lassen ist ja auch nicht gerade besonders intelligent. Zumindestens outbound sollte man sie aktiv in der Lastenverteilung nutzen.
Glasfaser 1GBit/s synchron
Du meintest sicher symetrisch?! Synchon meint etwas anderes.
Hallo,
Du kannst für kleines Geld (ist immer relative) eine ganz andere Domäne bei AWS Route53 einrichten.
Ob der Hostname beim VPN nun vpn.firma.de oder vpn.firma.com lautet ist doch egal.
Bei AWS kannst Du TTL < 1 Minute einrichten und hast eine API.
Ich benutze etwas ähliches für die Einwahl auf einem RDP-Sicherheitsgateway.
Stefan
Du kannst für kleines Geld (ist immer relative) eine ganz andere Domäne bei AWS Route53 einrichten.
Ob der Hostname beim VPN nun vpn.firma.de oder vpn.firma.com lautet ist doch egal.
Bei AWS kannst Du TTL < 1 Minute einrichten und hast eine API.
Ich benutze etwas ähliches für die Einwahl auf einem RDP-Sicherheitsgateway.
Stefan
Zitat von @StefanKittel:
Hallo,
Du kannst für kleines Geld (ist immer relative) eine ganz andere Domäne bei AWS Route53 einrichten.
Ob der Hostname beim VPN nun vpn.firma.de oder vpn.firma.com lautet ist doch egal.
Bei AWS kannst Du TTL < 1 Minute einrichten und hast eine API.
Ich benutze etwas ähliches für die Einwahl auf einem RDP-Sicherheitsgateway.
Stefan
Hallo,
Du kannst für kleines Geld (ist immer relative) eine ganz andere Domäne bei AWS Route53 einrichten.
Ob der Hostname beim VPN nun vpn.firma.de oder vpn.firma.com lautet ist doch egal.
Bei AWS kannst Du TTL < 1 Minute einrichten und hast eine API.
Ich benutze etwas ähliches für die Einwahl auf einem RDP-Sicherheitsgateway.
Stefan
Das hab ich gesucht. Ist auch bei einem Kunden so eingerichtet, so dass wenn mal die Hauptleitung wegbricht, innerhalb weniger Sekunden auf die Backupleitung geswitcht wird.
@StefanKittel
Da finde ich den Weg über Azure Traffic Manager eleganter. Weil ich meine Domain nicht aus der Hand geben muss und du auf keine API angewiesen bist. Sondern die wenn was Konfiguration vollumfänglich nach Bedarf vorab hinterlegen kannst. Der Spaß kostet allerdings +- 17 Euro im Monat wenn man von ein paar GB im Monat ausgeht.
Gruß,
Dani
Da finde ich den Weg über Azure Traffic Manager eleganter. Weil ich meine Domain nicht aus der Hand geben muss und du auf keine API angewiesen bist. Sondern die wenn was Konfiguration vollumfänglich nach Bedarf vorab hinterlegen kannst. Der Spaß kostet allerdings +- 17 Euro im Monat wenn man von ein paar GB im Monat ausgeht.
Gruß,
Dani
Zitat von @techSmile:
Derzeit wird diese nur auf der Firewall als passives Gateway genutzt und baut, sobald die Hauptleitung ausfällt, die Verbindung auf. Die Unterbrechung beträgt hierbei nur ein paar Sekunden - soweit so gut.
Also derzeit eine reine Failover-Konfiguration, warum eigentlich? Kostet die andere Leitung nur bei Nutzung oder gibt es Volumen-Beschränkungen? Unterscheiden sich die Leitungen von der Leistung und/oder Qualität oder währe es unproblematisch eingehende Verbindungen immer auf beide aufzuteilen?Derzeit wird diese nur auf der Firewall als passives Gateway genutzt und baut, sobald die Hauptleitung ausfällt, die Verbindung auf. Die Unterbrechung beträgt hierbei nur ein paar Sekunden - soweit so gut.
Kleine Info am Rande, für alle unsere Leitungen bietet die Telekom eine Redundanz in der Vermittlungsstelle.
So lange der Kabelweg nicht durchtrennt wird, ist also alles "Safe"
Übrigens ist die Wahrscheinlichkeit, dass eine deutsche Glasfaserleitung ausfällt im Vergleich eher gering.
So lange der Kabelweg nicht durchtrennt wird, ist also alles "Safe"
Übrigens ist die Wahrscheinlichkeit, dass eine deutsche Glasfaserleitung ausfällt im Vergleich eher gering.
Zitat von @Dani:
@StefanKittel
Da finde ich den Weg über Azure Traffic Manager eleganter. Weil ich meine Domain nicht aus der Hand geben muss und du auf keine API angewiesen bist. Sondern die wenn was Konfiguration vollumfänglich nach Bedarf vorab hinterlegen kannst.
@StefanKittel
Da finde ich den Weg über Azure Traffic Manager eleganter. Weil ich meine Domain nicht aus der Hand geben muss und du auf keine API angewiesen bist. Sondern die wenn was Konfiguration vollumfänglich nach Bedarf vorab hinterlegen kannst.
Das geht auch mit Route 53; nur wenn Du mit CNAME auf den gebalancten Hostnamen arbeiten willst, musst Du halt eine (andere) eigene Zone für diesen Hostnamen dort hosten und bekommst keine Zone von AWS dafür, anders als bei Azure. Route 53 ist die etwas flexiblere Lösung (z.B. Anbindung an weitere Automatisierung), deren Möglichkeiten für reines DNS-Failover natürlich nicht unbedingt gebraucht werden.
Grüße
Richard
Wird trotzdem DynDNS benötigt?
Ja, meiner Meinung nach schon.Ich habe es über einen pfsense Router gelöst, der je nach Verfügbarkeit zwischen Kabel- und DSL-Anschluss umschaltet.
Eine der beiden Verbindungen hat Priorität, Trigger für Umschaltung kann konfiguriert werden (Monitoring IP, Latenz, Zeit, ...).
Die jeweils aktuelle IP wird über DynDNS bekanntgegeben.